Artikel 43 VO (EU) 2024/1366

(1) Bis zum 31. Dezember des Jahres nach der Unterrichtung der Einrichtungen mit kritischen Auswirkungen und danach alle drei Jahre führt jede Einrichtung mit kritischen Auswirkungen eine Cybersicherheitsübung durch, die ein oder mehrere Szenarien mit Cyberangriffen umfasst, die sich direkt oder indirekt auf grenzüberschreitende Stromflüsse auswirken und mit den gemäß den Artikeln 20 und 27 bei den Cybersicherheitsrisikobewertungen auf Ebene der Mitgliedstaaten und Einrichtungen ermittelten Risiken im Zusammenhang stehen.

(2) Abweichend von Absatz 1 kann die RP-NCA nach Konsultation der zuständigen Behörde und der gemäß Artikel 9 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörde für das Cyberkrisenmanagement beschließen, anstelle der Cybersicherheitsübung auf Ebene der Einrichtung eine Cybersicherheitsübung gemäß Absatz 1 auf Ebene des Mitgliedstaats durchzuführen. In diesem Zusammenhang unterrichtet die zuständige Behörde

a)

alle Einrichtungen mit kritischen Auswirkungen ihres Mitgliedstaats, die NRB, die CSIRTs und die CS-NCA bis spätestens 30. Juni des Jahres, das der Cybersicherheitsübung auf Ebene der Einrichtungen vorausgeht;

b)

jede Einrichtung, die an der Cybersicherheitsübung auf Ebene des Mitgliedstaats teilnehmen muss, spätestens sechs Monate vor der Übung.

(3) Die RP-NCA organisiert mit technischer Unterstützung ihrer CSIRTs die in Absatz 2 beschriebene Cybersicherheitsübung auf Ebene des Mitgliedstaats getrennt oder zusammen mit einer anderen Cybersicherheitsübung in diesem Mitgliedstaat. Um diese Übungen zusammenfassen zu können, kann die RP-NCA die in Absatz 1 genannte Cybersicherheitsübung auf Ebene des Mitgliedstaats um ein Jahr verschieben.

(4) Die Cybersicherheitsübungen auf Ebene der Einrichtungen und der Mitgliedstaaten müssen mit den nationalen Rahmen für das Cybersicherheitskrisenmanagement gemäß Artikel 9 Absatz 4 Buchstabe d der Richtlinie (EU) 2022/2555 im Einklang stehen.

(5) Bis zum 31 Dezember 2026 und danach alle drei Jahre stellt ENTSO-E in Zusammenarbeit mit der EU-VNBO ein Muster für das Übungsszenario für die Durchführung der in Absatz 1 genannten Cybersicherheitsübungen auf Ebene der Einrichtungen und der Mitgliedstaaten bereit. Das Muster muss den Ergebnissen der jüngsten Bewertung des Cybersicherheitsrisikos auf Ebene der Einrichtungen und der Mitgliedstaaten Rechnung tragen und zentrale Leistungskriterien enthalten. ENTSO-E und die EU-VNBO beziehen die ACER und die ENISA bei der Entwicklung dieses Musters ein.